.
O governo propôs na sexta-feira uma nova lei de privacidade de dados que permite a transferência e armazenamento de dados pessoais em alguns países, aumentando a penalidade por violações.
O projeto de lei de proteção de dados pessoais digitais (DPDP) de 2022 será um grande alívio para Google, Amazon, Facebook e outras empresas globais, pois substitui uma versão anterior que havia alarmado grandes empresas de tecnologia com suas restrições rigorosas aos fluxos de dados transfronteiriços.
O governo “notificará os países ou territórios fora da Índia para os quais um fiduciário de dados pode transferir dados pessoais”, de acordo com o rascunho divulgado na sexta-feira para feedback público.
O novo projeto se tornará lei assim que o Parlamento o aprovar.
A legislação proposta estipula consentimento antes de coletar dados pessoais e prevê penalidades rígidas de até Rs. 500 crore em pessoas e empresas que falham em evitar violações de dados, incluindo divulgações acidentais, compartilhamento, alteração ou destruição de dados pessoais.
As empresas estão autorizadas a armazenar os dados coletados apenas por períodos especificados.
O projeto também dá poderes ao governo central para isentar as agências estatais das disposições do projeto de lei “no interesse da soberania e integridade da Índia” e para manter a ordem pública.
Com mais de 750 milhões de usuários de internet e o segundo maior lar de telefones celulares, a Índia é um mercado grande e crescente para gigantes da tecnologia, mas as regras de privacidade anteriores os irritavam.
O projeto de lei abrange dados pessoais coletados online e dados offline digitalizados. Também se aplicará ao processamento de dados pessoais no exterior se tais dados envolverem perfis de usuários indianos ou venda de serviços para eles.
“O projeto de lei DPDP de 2022 simplificou o regime de proteção de dados proposto e eliminou algumas cláusulas controversas que causaram resistência da indústria em versões anteriores. Particularmente, espelhamento de dados, requisitos de localização de dados e conformidade geral parecem ser limitados em comparação com o projeto de lei anterior”, disse Rupinder Malik, sócio do escritório de advocacia JSA.
A intenção legislativa, disse ele, parece ser favorável aos negócios de tecnologia e TI, focada em facilitar os fluxos de dados transfronteiriços. “Alguns aspectos que foram diluídos podem potencialmente reduzir a proteção geral concedida aos direitos individuais de privacidade. A parte positiva é que o projeto de lei foi redigido de maneira mais simples, com menos ambiguidades.” O novo projeto de lei substitui o Projeto de Lei de Proteção de Dados, que foi retirado pelo governo em agosto deste ano. O rascunho está aberto para comentários públicos até 17 de dezembro.
O projeto de lei exige a criação de um ‘Conselho de Proteção de Dados’ para garantir o cumprimento. A diretoria também vai ouvir as reclamações dos usuários.
Ele exige que empresas como Google e Facebook prestem contas a um ‘gerente de consentimento’ para fornecer uma “plataforma acessível, transparente e interoperável” para dar, gerenciar, revisar e retirar o consentimento.
Os usuários terão o direito de retificar e apagar seus dados pessoais.
Embora os dados pessoais de crianças não possam ser obtidos ou processados sem o consentimento dos pais, o projeto de lei prevê que a publicidade não pode ser direcionada a crianças.
As empresas de tamanho ‘significativo’ — com base em fatores como o volume de dados que processam — seriam obrigadas a nomear um auditor de dados independente para avaliar o cumprimento das disposições da lei.
A disposição da versão anterior que dava poderes ao governo para pedir a uma empresa que fornecesse dados pessoais anonimizados e dados não pessoais para ajudar a direcionar a prestação de serviços ou formular políticas, não consta do novo projeto.
O novo projeto eleva o valor da multa para até Rs. 500 crore por violar provisões. O projeto de lei de proteção de dados pessoais, emitido em 2019, propôs uma multa de Rs. 15 crore ou 4% do faturamento global de uma entidade, o que for maior.
“O objetivo deste projeto de lei é prever o processamento de dados pessoais digitais de uma maneira que reconheça o direito dos indivíduos de proteger seus dados pessoais, a necessidade de processar dados pessoais para fins legais e para outros fins incidentais”, nota explicativa do projeto de lei disse.
O projeto propõe a criação de um Conselho de Proteção de Dados da Índia, que exercerá as funções de acordo com as disposições do projeto de lei.
“Se o Conselho determinar, na conclusão de uma investigação, que o descumprimento de uma pessoa é significativo, poderá, após dar à pessoa uma oportunidade razoável de ser ouvida, impor uma penalidade financeira conforme especificado no Anexo 1, não superior a cinco rúpias cem crore em cada caso”, dizia o rascunho.
Propôs um sistema de penalidade graduada para Fiduciários de Dados e Processadores de Dados em caso de qualquer violação sob a legislação proposta.
Os Fiduciários de Dados são as entidades que processarão dados pessoais, por conta própria ou com a ajuda de Processadores de Dados.
O projeto propôs uma multa de até Rs. 250 crore caso o Fiduciário de Dados ou o Processador de Dados não proteja contra violações de dados pessoais em sua posse ou sob seu controle.
O projeto também propôs uma multa de até Rs. 200 crore caso o Fiduciário de Dados ou o Processador de Dados não informe o Conselho e o proprietário dos dados sobre a violação de dados.
Além disso, o projeto de lei propõe impor uma multa de Rs. 10.000 em indivíduos que fornecem informações não verificáveis ou falsas ao solicitar qualquer documento, serviço, comprovante de identidade ou endereço, etc., e por registrar uma reclamação falsa ou frívola junto a um Fiduciário de Dados ou ao Conselho.
O projeto de lei prevê que as entidades possam transferir os dados pessoais de um cidadão para fora do país nos casos em que o processamento de dados pessoais seja necessário para fazer valer qualquer direito ou reivindicação legal, o desempenho de qualquer função judicial ou parajudicial, investigação ou processo de qualquer ofensa ou se o proprietário dos dados não estiver no território da Índia e tiver celebrado qualquer contrato com qualquer pessoa fora do país.
“O Governo Central pode, após uma avaliação dos fatores que considerar necessários, notificar os países ou territórios fora da Índia para os quais um Fiduciário de Dados pode transferir dados pessoais”, de acordo com o rascunho.
A nota explicativa do Ministério da Eletrônica e Informática elenca sete princípios em que se baseia o projeto de lei.
Isso inclui o uso de dados pessoais por organizações de maneira legal, transparente e justa para os indivíduos envolvidos e os dados pessoais são usados para os fins para os quais foram coletados.
O projeto também tem uma disposição para garantir que apenas os itens de dados pessoais necessários para atingir uma finalidade específica devem ser coletados e devem ser armazenados perpetuamente por padrão.
“O Projeto de Lei de Proteção de Dados Pessoais Digitais é uma legislação que enquadra os direitos e deveres do cidadão (Digital Nagrik) por um lado e as obrigações de usar os dados coletados legalmente do Fiduciário de Dados, por outro lado”, disse a nota explicativa.
Comentários ao projeto de lei podem ser enviados até 17 de dezembro.
.
